MetaDefender 软件 Supply Chain继续增强 AppSec 和 DevSecOps 团队在保护应用程序免受供应链攻击方面的经验和效率。在此 v2.5.0 版本中,我们引入了一系列功能,重点是简化漏洞管理和 SBOM 标准化。这些新功能使跨容器、二进制文件和源代码的安全管理变得更容易,速度更快,规模更大。
增强的软件库和软件包报告用户界面
优化漏洞管理,在版本库和软件包级别更快地分流问题。
CVE 搜索
识别受已知漏洞影响的组件。
基于 Webhook 的 GitLab 和 JFrog 二进制扫描
基于 Webhook 的 GitLab 和 JFrog 二进制扫描
JFrog 工厂中的扩展补救措施
通过复制、移动和删除二进制人工制品,更快地解决漏洞问题,最大限度地降低风险敞口。
CycloneDX SBOM 导出
生成合规和标准化报告。
存储库和软件包报告:优化Vulnerability Management
我们改进的界面可以灵活查看和分析项目中资源库和软件包中的威胁数据。
报告选项卡现在提供两种不同的查看模式(资源库级和软件包级),以支持高层次的可见性和详细的组件级洞察。软件 团队可以深入了解资源库中发现的所有软件包,并轻松深入到特定软件包进行进一步调查。
存储库级视图
该视图提供已扫描存储库的摘要,包括
- 检测到的漏洞、恶意软件和秘密
- 包件总数与易损包件总数
- 许可证风险状况
点击进入每个存储库,可以查看详细的 SBOM 和扫描结果。
软件包级视图
该视图主要显示项目中使用的软件包:
- 软件包名称
- 包含漏洞的相关存储库
- 脆弱性状况
- 许可证风险分类
- 风险严重程度
过滤器选项
您还可以通过以下方式过滤扫描结果:
- 安全风险严重性(严重、高、中、低、未知)
- 许可证状态(允许、阻止)
- 活动连接(存储库、Container、二进制)
这些双重视角支持 AppSec、DevSecOps 和工程团队之间的不同角色和工作流程,以实现更可行的风险优先级排序,并加强安全和工程之间的协作。
CVE 搜索:立即识别已知漏洞
当披露新的 CVE 时,团队可以直接搜索它,以确定其环境中的任何组件是否受到影响,这样他们就可以在最短的时间内应对这些威胁。在持续更新的漏洞数据库的支持下,该功能无需手动将 CVE 引用与特定软件包或构建工件相关联,即可实现有针对性的分流。
对于管理具有数百个扫描组件的大型复杂项目的团队来说,这一更新可增强事件响应工作流程和漏洞披露流程。
针对 JFrog 二进制文件的增强型补救措施
在 v2.5.0 中,MetaDefender 软件 Supply Chain 继续深化与 JFrog Artifactory 的集成,并增强了修复功能:
复制补救
在工件库之间安全地传输经过验证的二进制软件包,或将可疑软件包隔离到隔离库中。
硬删除修复
定义规则以永久删除受损的二进制文件,保持资源库的清洁,最大限度地降低与人工制品相关的风险暴露。
具体来说,在CI/CD 管道中管理工件时,最初存储在 "未验证 "暂存仓库中的工件可由MetaDefender 软件 Supply Chain 扫描,并在验证后移动到 "安全 "仓库。这有助于确保工件在部署前是安全和合规的。通过自动化这一流程,团队可以省去手动步骤,同时保持工件的卫生、可追溯性和整个管道的受控访问。
作为一个广泛使用的二进制存储库管理器,JFrog Artifactory在许多CI/CD管道中发挥着核心作用--存储构建输出、托管第三方依赖以及管理发布工件。对于 DevSecOps 团队来说,确保只有经过验证、符合策略的二进制文件才能被推广到下游阶段,有助于支持工件治理策略、加强构建的出处,并降低工件级供应链威胁的风险。
使用 GitLab 和 JFrog Artifactory 的 Webhooks 自动进行安全检查
MetaDefender 软件 Supply Chain 现在支持基于 webhook 的触发器,以便根据关键开发事件自动进行安全扫描。这允许在JFrog Artifactory或GitLab 中发生特定事件时自动启动安全扫描。
- 在代码提交或拉动请求后立即触发扫描。
- 在推送或合并到主分支时扫描源代码。
主要功能
- 工作流专用 URL:为每个已连接的版本库生成唯一的 Webhook URL,以便在 GitLab 或 JFrog Artifactory 中轻松配置。
- 基于事件的触发器:在发生推送事件或创建拉取请求时自动启动扫描,确保在整个开发周期内进行持续验证。
- 集中库存管理:直接从扫描仪的库存屏幕管理和监控活动网络钩子,以实现控制和可视性。
益处
- 在 CI/CD 工作流程中整合新组件的持续验证。
- 对风险的实时可见性--在项目中引入或修改新的或更新的组件时,会立即对其进行评估。
- 减少人工操作和运营开销。
- 为快速部署软件提供可扩展的SDLC 安全性。
关于MetaDefender 软件 Supply Chain
MetaDefender 软件 Supply Chain 通过扫描每个软件库(包括开源第三方组件)来识别安全威胁和漏洞,从而增强您的 DevSecOps 管道。借助我们的检测和预防技术,您的 SDLC 可免受恶意软件和漏洞的侵害,从而加强应用程序的安全性和合规性。
将 SBOM 导出为 CycloneDX 格式
为满足合规性要求并实现生态系统集成,开发和安全团队可导出 CycloneDX 格式的 SBOM(软件 物料清单)。
这支持了以下努力
- 简化标准格式的 SBOM 生成。
- 可向监管机构或第三方利益相关者提交 SBOM。
- 确保工具、生态系统和供应链合作伙伴之间的兼容性。
- 满足不断发展的软件供应链安全标准,而无需额外开支。
更多精彩,敬请期待
我们将继续扩展MetaDefender 软件 Supply Chain的功能,为安全和 DevSecOps 团队提供大规模交付安全软件所需的自动化、可视性和控制。如需了解这些新功能的定制演示,请联系我们的网络安全专家。
发布详情
- 产品MetaDefender 软件 Supply Chain
- 发布日期:164 月16 2025
- 版本说明:2.5.0
- 从OPSWAT 门户网站下载
如需了解更多信息,请咨询我们的网络安全专家。
